El Consejo de Ministros aprobó el 14 de enero de 2025 el anteproyecto de ley con el que se transpone al ordenamiento jurídico nacional la Directiva (UE) 2022/2555, conocida como NIS-2 (el “Anteproyecto”). El Anteproyecto tiene como finalidad reforzar la protección de las redes y sistemas de información de entidades pertenecientes a sectores críticos, que están sometidas a graves riesgos y desafíos en el área de la ciberseguridad.
- Ámbito de aplicación. La norma se aplicará a entidades públicas y privadas con residencia fiscal en España o que operen en el país, medianas o grandes y pertenezcan a sectores críticos como energía, transporte, sanidad, banca, mercados financieros, y agua, así como sectores de menor criticidad, como servicios postales y de mensajería, gestión de residuos, y servicios digitales, entre otros. También afecta a empresas estratégicas pequeñas.
- Principales obligaciones. Entre las obligaciones de las entidades afectadas destacan:
- Realizar una evaluación individualizada de riesgos para garantizar la seguridad de sus redes y sistemas de información.
- Implementar medidas de seguridad adecuadas y adoptar acciones preventivas frente a incidentes cibernéticos.
- Notificar cualquier incidente significativo y ciberamenaza relevante a las autoridades competentes, así como a los destinatarios de sus servicios, acompañando la notificación con medidas y pautas de respuesta.
- Responsable de seguridad de la información. Se introduce un puesto clave en cada entidad: el responsable de la seguridad de la información, que será el encargado de diseñar la estrategia de protección, supervisar la implantación de medidas y garantizar el cumplimiento normativo, fomentando una actuación unificada y evitando la dispersión de funciones.
- Centro Nacional de Ciberseguridad. Se creará el Centro Nacional de Ciberseguridad, adscrito a la Secretaría General de la Presidencia del Gobierno, con la misión de coordinar, impulsar y gestionar las políticas de ciberseguridad a nivel nacional. Además, promoverá la cooperación intersectorial y transfronteriza con las autoridades competentes de otros países y se encargará de gestionar las crisis de ciberseguridad derivadas de incidentes significativos.
- Supervisión. Se asignarán funciones de supervisión a varias autoridades competentes, como el Ministerio del Interior (a través de la Oficina de Coordinación de Ciberseguridad), el Ministerio de Defensa (Centro Criptológico Nacional) y el Ministerio para la Transformación Digital y de la Función Pública (Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales).
- Régimen sancionador. El Anteproyecto incluye un régimen sancionador para garantizar el cumplimiento de las obligaciones de ciberseguridad. Incorpora sanciones que pueden llegar a 10 millones de euros, o el 2% de la cifra anual de facturación.
- Próximos pasos. Esta norma es una transposición de la Directiva (UE) 2022/2555, que debía haberse transpuesto antes del 17 de octubre de 2024. Por ello, el Gobierno ha optado por la tramitación urgente del Anteproyecto.
